Zebank, la banque en ligne d’Europ@web (le fonds de capital risque de Bernard Arnault), n’a pas été cambriolée, mais bel et bien visitée : l’e-zine Kitetoa est allé faire quelques copies d’écran du projet ultra-secret et ultra-médiatisé...
© Pierre-Emmanuel Rastoin / Transfert |
Depuis
le 3 avril, tous les secrets de
Zebank
s’étalent sur le Web : répertoire
des fichiers, page d’accueil, comment ouvrir
un compte, tarifs, et même un petit laïus
sur la sécurisation à toute épreuve
du serveur...
Kitetoa,
e-zine satirique, a réussi à percer
le système de sécurité de Zebank,
un projet ultra-secret de plate-forme financière
à l’échelle européenne,
financé à 80 % par Europ@web, le fonds
du financier Bernard Arnault. Zebank a bel et bien
été visitée de fond en comble
avant même que le projet ne soit lancé...
Kitetoa a même publié, dans la nuit du
3 au 4 avril, des copies d’écran des pages
du site de la future banque en ligne, toujours en
construction. Le webmaster de Kitetoa explique qu’il
a mis en ligne ces pages après avoir mis en
garde les responsables du serveur, mal protégé,
par e-mail. "
Ils ont à peu près
réparé, mais n’ont pas jugé
utile de nous renvoyer un mail avec un truc du genre
"merci pour le tuyau"." Tant pis
pour eux. Ça fait mal, des fuites pareilles,
en pleine période de lancement médiatique.
Il ne s’est rien passé sur zebank.com
L’agence de communication de Zebank n’était,
au moment où Transfert l’a contactée,
pas au courant de l’intrusion et tente aujourd’hui
de minimiser l’affaire : "Il n’y
a pas eu de piratage, nous n’avons même
pas lancé de communication de crise."
Pas de piratage, certes. Kitetoa est parfaitement
d’accord : la nature du défaut de cuirasse
ne permettait pas d’aller modifier les fichiers
- ce qui n’était d’ailleurs
pas du tout l’objectif de l’e-zine. La visite,
en revanche, était très simple. "Le
site Zebank a été construit sur un serveur
Netscape, analyse le Webmaster de Kitetoa. Les développeurs
d’origine du serveur Netscape y ont intégré
des modules pour l’administration à distance.
Les gens du métier savent qu’il suffit
de rajouter certains petits bouts de texte à
l’URL pour créer des bugs, et récupérer
la racine du serveur. Il ne s’agit pas de modifier
les données : juste de les consulter. Il arrive
que certains administrateurs réseau fassent
mal leur boulot, et stockent des mots de passe de
gestion dans un répertoire. Mais ce n’était
pas le cas."
"Un plan bizarre"
Zebank a fini par réagir à l’intrusion.
Le 4 avril, dans la matinée, le Webmaster de
Kitetoa a reçu un mail qui a éveillé
sa méfiance : "Ils m’ont fait
un plan bizarre, en me proposant de me récompenser.
J’ai refusé."
Sur une affaire similaire, une autre grande banque
avait proposé au Webmaster de le payer pour
faire des tests d’intrusion. Kitetoa a appris
que la DST avait été contactée
par la même banque. Dans de telles situations,
le Webmaster de Kitetoa affirme que la prudence est
de mise. "Tant qu’il n’y a pas de
piratage, nous ne sommes pas attaquables juridiquement.
Mais en recevant de l’argent, on risque d’être
accusé, comme Serge Humpich, d’extorsion
de fonds..." Non, Zeresponsable d’un
tel grand projet n’oserait pas avoir de telles
intentions, tout de même...